### Cibler les développeurs : un vecteur d'attaque lucratif Les opérateurs de **GlassWorm** ont systématiquement ciblé les développeurs de logiciels, une démographie ayant un accès privilégié aux dépôts de code source, aux plateformes cloud, aux pipelines CI/CD et aux registres de packages. Cela fait des développeurs une cible de grande valeur pour les attaques de la chaîne d'approvisionnement logicielle, où un seul poste de travail compromis peut impacter des milliers d'organisations et d'utilisateurs en aval. ### Campagne à plusieurs volets Depuis son apparition l'année dernière, **GlassWorm** a exécuté une "campagne à plusieurs volets" impliquant des extensions **VS Code** trojanisées publiées sur le **Microsoft VS Code Marketplace** et **Open VSX**. Cette tactique a permis au malware de cibler les utilisateurs de forks de **VS Code** tels que **Cursor**, **Positron**, **Windsurf** et **VSCodium**. La campagne a également introduit du code malveillant via des packages npm et Python compromis. L'objectif ultime de ces attaques est de déployer un framework de vol de données capable de récolter des identifiants, d'exfiltrer des portefeuilles de cryptomonnaies et de profiler les systèmes. ### GlassWormRAT : Vol de données de navigateur Les itérations ultérieures de **GlassWorm** ont déployé un RAT JavaScript basé sur Websocket appelé **GlassWormRAT** pour voler des données de navigateur Web et exécuter du code arbitraire. Cela inclut l'installation d'une extension **Google Chrome** qui collecte des données sensibles telles que des captures d'écran, des frappes au clavier et le contenu du presse-papiers des systèmes infectés. Selon Kiran Raj, chercheur chez **Endor Labs**, "Une fois actif, le malware recherche sur l'hôte les identifiants de développeur (tokens **GitHub**, NPM, **OpenVSX**, portefeuilles crypto), permettant une compromission supplémentaire des dépôts et des téléversements de packages."   Les hôtes infectés sont convertis en infrastructure cachée, fonctionnant comme des proxys SOCKS, des serveurs VNC cachés (HVNC) et des nœuds d'exécution à distance (via WebRTC ou des processus Node.js lancés). Cela fournit aux attaquants un accès réseau anonyme aux réseaux d'entreprise et personnels, facilitant une propagation supplémentaire. ### Infrastructure C2 résiliente L'activité malveillante aurait compromis plus de 300 dépôts **GitHub** en utilisant des identifiants de développeur volés. Une caractéristique clé de l'opération était son utilisation de quatre canaux C2 distincts pour une résilience accrue : * Utilisation de la **blockchain Solana** comme résolveur de "dead drop" en stockant les adresses des serveurs C2 dans les champs mémo des transactions blockchain. * Interrogation du réseau peer-to-peer BitTorrent Distributed Hash Table (DHT) pour récupérer les données de configuration. * Emploi de **Google Calendar** comme résolveur de "dead drop" pour récupérer l'adresse du serveur C2 à partir des titres d'événements. * Connexion directe à l'infrastructure C2 hébergée sur des fournisseurs VPS commerciaux. "La combinaison de la blockchain, du peer-to-peer et des services Web légitimes comme couches de résolution a été conçue pour être résiliente aux neutralisations - un front dynamique protégeant les serveurs C2 réels derrière plusieurs couches d'indirection", a déclaré **CrowdStrike**. ### Neutralisation et attribution La neutralisation a réussi à désactiver simultanément les quatre canaux C2, empêchant les machines infectées de recevoir de nouvelles instructions ou des payloads. **CrowdStrike** a décrit les opérateurs de **GlassWorm** comme "bien financés et persistants", attribuant l'activité à des cybercriminels probablement basés en Russie. Cette évaluation est basée sur le comportement du malware qui termine son exécution sur les systèmes situés dans les pays de la Communauté des États Indépendants (CEI) et sur la présence de commentaires en russe dans le code. ### Risques liés à la chaîne d'approvisionnement logicielle "La chaîne d'approvisionnement logicielle reste l'une des surfaces d'attaque les plus importantes de l'informatique moderne", a conclu **CrowdStrike**. "Les adversaires transforment les dépendances d'une organisation vis-à-vis des outils, des mises à jour et des bibliothèques en mécanismes de livraison armés et en multiplicateurs de force." La société de cybersécurité a souligné que "la barrière à l'empoisonnement d'un package ou d'une extension est faible ; le rayon d'explosion potentiel est énorme. Tant que les environnements de développement, les pipelines de construction et les dépôts de code resteront sous-protégés, chaque organisation qui consomme des logiciels hérite du risque de tous ceux qui les produisent. **GlassWorm** démontre que les attaquants le savent et investissent dans une infrastructure résiliente pour maintenir un accès persistant aux écosystèmes de développeurs."